安全性布告欄
Microsoft 安全性布告欄 MS13-025 - 重要
Microsoft OneNote 中的弱點可能會允許資訊洩漏(2816264)
發佈時間: 2013 年 3 月 12 日
版本: 1.0
一般資訊
執行摘要
此安全性更新可解決 Microsoft OneNote 中私下回報的弱點。 如果攻擊者說服用戶開啟特製的 OneNote 檔案,此弱點可能會允許資訊洩漏。
此安全性更新已針對所有支援的 Microsoft OneNote 2010 版本評為重要。 如需詳細資訊,請參閱本節中的小節<
安全性更新會修改 Microsoft OneNote 檢查要配置的緩衝區大小,藉此解決弱點。 如需弱點的詳細資訊,請參閱下一節弱點資訊下特定弱點專案的常見問題 (FAQ) 小節。
建議。 客戶可以使用 Microsoft Update 服務設定自動更新,以在線檢查 Microsoft Update 的更新。 已啟用自動更新並設定為在線檢查 Microsoft Update 更新的客戶通常不需要採取任何動作,因為會自動下載並安裝此安全性更新。 未啟用自動更新的客戶必須檢查 Microsoft Update 的更新,並手動安裝此更新。 如需 Windows XP 和 Windows Server 2003 版本自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871。 如需 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 中自動更新的相關信息,請參閱 瞭解 Windows 自動更新。
針對系統管理員和企業安裝,或想要手動安裝此安全性更新的終端使用者,Microsoft 建議客戶儘早使用更新管理軟體套用更新,或使用 Microsoft Update 服務檢查更新。
另請參閱本公告稍後的偵測和部署工具和指引一節。
知識庫文章
| 知識庫文章 | 2816264 |
|---|---|
| 檔案資訊 | Yes |
| SHA1/SHA2 哈希 | Yes |
| 已知問題 | 無 |
受影響的和非受影響的軟體
下列軟體已經過測試,以判斷哪些版本或版本受到影響。 其他版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
Microsoft Office
| Microsoft Office Software | 最大安全性影響 | 匯總嚴重性評等 | 已取代 更新 |
|---|---|---|---|
| Microsoft OneNote 2010 Service Pack 1 (32 位版本)\ (2760600) | 洩露資訊 | 重要 | 無 |
| Microsoft OneNote 2010 Service Pack 1 (64 位版本)\ (2760600) | 洩露資訊 | 重要 | 無 |
非受影響的軟體
| Office 和其他軟體 |
|---|
| Microsoft OneNote 2003 Service Pack 3 |
| Microsoft OneNote 2007 Service Pack 3 |
| Microsoft Office Web Apps 2010 Service Pack 1 |
| Microsoft OneNote 2013 (32 位版本) |
| Microsoft OneNote 2013 (64 位版本) |
| Microsoft Web Apps Server 2013 |
更新常見問題
我使用此安全性布告欄所討論之軟體的較舊版本。 我該怎麼做?
此布告欄中列出的受影響的軟體已經過測試,以判斷哪些版本受到影響。 其他版本已超過其支援生命週期。 如需產品生命週期的詳細資訊,請參閱 Microsoft 支援服務 生命周期網站。
對於擁有舊版軟體的客戶而言,它應該是優先專案,可遷移至支援的版本,以防止潛在暴露在弱點。 若要判斷軟體版本的支援生命週期,請參閱 選取產品以取得生命周期資訊。 如需這些軟體版本 Service Pack 的詳細資訊,請參閱 Service Pack 生命週期支持原則。
需要舊版軟體自定義支援的客戶必須連絡其 Microsoft 帳戶小組代表、其技術帳戶管理員,或適當的 Microsoft 合作夥伴代表,以取得自定義支持選項。 沒有聯盟、頂級或授權合約的客戶可以連絡其當地 Microsoft 銷售辦公室。 如需連絡資訊,請參閱 Microsoft 全球資訊網站,選取 [連絡資訊 ] 清單中的國家/地區,然後按兩下 [ 移至 ] 以查看電話號碼清單。 當您打電話時,請要求與當地頂級支援銷售經理交談。 如需詳細資訊,請參閱 Microsoft 支援服務 生命周期原則常見問題。
弱點資訊
嚴重性評等和弱點標識碼
下列嚴重性評等假設弱點的潛在最大影響。 如需有關此安全性布告欄發行的 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 3 月公告摘要中的惡意探索索引。 如需詳細資訊,請參閱 Microsoft 惡意探索索引。
| 受影響的軟體 | 緩衝區大小驗證弱點 - CVE-2013-0086 | 匯總嚴重性評等 |
|---|---|---|
| Microsoft OneNote 2010 Service Pack 1 (32 位版本) | 重要 \ 信息洩漏 | 重要 |
| Microsoft OneNote 2010 Service Pack 1 (64 位版本) | 重要 \ 信息洩漏 | 重要 |
緩衝區大小驗證弱點 - CVE-2013-0086
Microsoft OneNote 配置記憶體以剖析特製 OneNote 的方式存在資訊洩漏弱點。ONE) 檔案。
若要將此弱點視為常見弱點和暴露清單中的標準專案,請參閱 CVE-2013-0086。
緩和因素
Microsoft 尚未識別此弱點的任何緩和因素。
因應措施
Microsoft 尚未識別此弱點的任何因應措施。
常見問題集
弱點的範圍為何?
這是資訊洩漏弱點。
造成弱點的原因為何?
此弱點是由緩衝區大小驗證問題所造成,可讓攻擊者讀取記憶體中的任意數據。
攻擊者可能會使用弱點來執行哪些動作?
成功惡意探索此弱點的攻擊者可能會探索敏感性資訊,例如已設定帳戶的使用者名稱和密碼。
攻擊者如何利用弱點?
在 Web 型攻擊案例中,攻擊者可以藉由說服用戶開啟特製的 OneNote 檔案來利用弱點。
什麼是Microsoft OneNote 2010?
Microsoft OneNote 2010 是一個數位筆記本,可讓使用者有一個位置收集其筆記和資訊、強大的搜尋功能,以快速尋找想要的內容,並方便使用的共用筆記本,以便他們能夠管理資訊多載,並更有效率地合作。
哪些系統主要面臨弱點的風險?
安裝受影響軟體的工作站和終端機伺服器等系統主要面臨弱點的風險。 如果系統管理員允許使用者登入伺服器並執行程式,伺服器可能會面臨更大的風險。 不過,最佳做法強烈建議您不要允許此做法。
更新有何用途?
更新會修改 Microsoft OneNote 檢查要配置的緩衝區大小的方式,以解決弱點。
發佈此安全性布告欄時,是否已公開披露此弱點?
否。 Microsoft 尚未收到任何資訊,指出此弱點已公開用來攻擊客戶,而且在最初發佈此安全性公告時,並未看到任何發佈概念證明程式代碼的範例。
發佈此安全性布告欄時,Microsoft 是否已收到任何有關此弱點遭到惡意探索的報告?
否。 Microsoft 尚未收到任何資訊,指出此弱點已公開用來攻擊客戶,而且在最初發佈此安全性公告時,並未看到任何發佈概念證明程式代碼的範例。
更新資訊
偵測和部署工具和指引
有數個資源可用來協助系統管理員部署安全性更新。
- Microsoft Baseline Security Analyzer (MBSA) 可讓系統管理員掃描本機和遠端系統是否有遺漏的安全性更新和常見的安全性設定錯誤。
- Windows Server Update Services (WSUS)、系統管理伺服器 (SMS) 和 System Center Configuration Manager (SCCM) 可協助系統管理員散發安全性更新。
- 應用程式相容性工具組隨附的更新相容性評估工具元件有助於簡化針對已安裝應用程式的 Windows 更新測試和驗證。
如需這些工具和跨網路部署安全性更新指引的詳細資訊,請參閱 IT 專業人員的安全性工具。
安全性更新部署
受影響的軟體
如需受影響軟體之特定安全性更新的相關信息,請按兩下適當的連結:
OneNote 2010 (所有版本)
參考數據表
下表包含此軟體的安全性更新資訊。
| 安全性更新檔名 | 針對 OneNote 2010 Service Pack 1 (32 位版本):\ onenote2010-kb2760600-fullfile-x86-glb.exe |
|---|---|
| 針對 OneNote 2010 Service Pack 1 (64 位版本):\ onenote2010-kb2760600-fullfile-x64-glb.exe | |
| 安裝參數 | 請參閱 Microsoft 知識庫文章912203 |
| 重新啟動需求 | 在某些情況下,此更新不需要重新啟動。 如果使用必要的檔案,此更新將需要重新啟動。 如果發生此行為,會出現一則訊息,建議您重新啟動。\ \ 為了協助減少需要重新啟動的機會,請停止所有受影響的服務,並在安裝安全性更新之前關閉所有可能使用受影響檔案的應用程式。 如需系統提示您重新啟動原因的詳細資訊,請參閱 Microsoft 知識庫文章887012。 |
| 拿掉資訊 | 在 控制台 中使用 [新增或移除程式] 專案 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文章 2760600 |
其他資訊
通知
Microsoft 感謝您 與我們合作,協助保護客戶:
- 的 Christopher Gabriel 報告緩衝區大小驗證弱點 (CVE-2013-0086)
Microsoft Active Protections 計劃 (MAPP)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請移至 Microsoft Active Protections 方案 (MAPP) 合作夥伴中所列之計劃合作夥伴所提供的使用中保護網站。
支援
如何取得此安全性更新的說明和支援
- 協助安裝更新: Microsoft Update 的支援
- IT 專業人員的安全性解決方案: TechNet 安全性疑難解答和支援
- 協助保護執行 Windows 的電腦免於病毒和惡意代碼: 病毒解決方案和安全性中心
- 根據您的國家/地區提供當地支持: 國際支援
免責聲明
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2013 年 3 月 12 日): 公告發佈。
建置於 2014-04-18T13:49:36Z-07:00